写在最前:
安全产品系列目录:目录&总述
FireWall 防火墙
用于边界安全防护的权限控制和安全域的划分
防外不防内,隔离区域
配置策略,按需划分,最小授权原则
产品简介
采用应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的下一代边界安全产品。其核心理念是立足于用户网络边界,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。
产品特点
- 全面的应用、用户识别能力
- 细致的应用层控制
- 应用层安全防护能力
入侵防护、URL过滤、防病毒、内容过滤 - 应用层安全处理性能
基础网络数据包的高速转发,应用层安全处理的高性能 - 内网资产风险管理
- 云端安全管理模式
- 高稳定性和可靠性
- 支持路由、交换、访问控制、流量管理、SNAT/DNAT、日志报表等传统功能
用户价值
- 对应用、业务和用户完全识别并加以控制、可以帮助企业降低管理难度、减少运维成本
- 事前的风险预知和事后的检测&响应能力,主动发现被保护的资产对象,以及被保护对象的风险状况
- 帮助有关部门、机构和人员及时对网络安全风险信息进行监测评估
1.部署模式
路由模式
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。路由器两端是不同子网
采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
透明模式
如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
旁路模式
在其他设备上开一个镜像口接入,逻辑上类似透明模式,检查流量经过,但不能进行阻断
部署简单,不改变现有结构,不影响速度,出现故障不会影响其他设备
旁路部署可以进行特殊流量配置,比如:三角传输
三角传输,也叫Direct Server Return(DSR)模式,是旁路部署的一个特例这种模式下只有入站方向流量进入到设备,服务器返回的流量不经过设备。由于互联网的流量具有典型的非对称性,即请求方向上的流量比较小,绝大多数流量集中在服务器响应的方向上,若充分信任内部安全性,这种配置可以提升处理能力。
双机热备
这种可能会用到混合模式:防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下
主备模式
主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
负载分担模式
两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如下图所示,Firewall 1和Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断
一般部署
会话备份
因为有重传机制
所以在两台防火墙完全主备部署的情况下,即使不使用会话备份,在设备故障切换时只是会影响业务的切换时间,但不会完全导致业务不可用;对于新建连接,只是增加一次会话建立时间,对数据转发没有任何影响
当两台防火墙做负载分担,而且数据流量存在来回路径不一致的时候,防火墙必须开启会话备份功能。
因为开启了OSPF负载分担,以TCP数据流为例,假如Trust区域的某客户要去访问Untrust区域的资源,TCP数据流第一个SYN报文根据等价路由被转发到Firewall 1,但是对方回应的SYN-ACK报文被上面路由器转发到了Firewall 2,对于Firewall 2由于报文是从Untrust到Trust,策略是禁止的,而且设备本身又没有会话,所以这个报文就会被丢弃,TCP连接建立失败。尽管TCP超时后会再次发起连接,但是如果上下两台路由器等价路由的Hash方式不变,报文会一直按着上面所说的路径转发,所以TCP连接永远失败。
工作过程
路由工作模式
防火墙工作在路由模式下,此时所有接口都配置IP 地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP 地址来查找路由表,此时 防火墙表现为一个路由器。但是, 防火墙与路由器存在不同, 防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。
透明工作模式
防火墙工作在透明模式下,此时所有接口都不能配置IP 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC 地址来寻找出接口,此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LAN Switch 进行网络连接。
混合工作模式
防火墙工作在混合透明模式下,此时部分接口配置IP 地址,部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间
进行转发时,转发过程与透明模式的工作过程完全相同。
UTM 统一威胁管理
Unified Threat Management
集成多种功能
若开启多项功能,可能性能不足,大多用于中低端公司
产品简介
集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、Web内容过滤、反垃圾邮件、流量整形、用户身份认证、审计以及BT(蓝牙)、IM(即时通讯)控制等多种应用
产品特点
集成多种产品功能,方便配置,管理
用户价值
- 便于部署,维护
- 性价比高
1. 部署模式
与防火墙类似,但一般不用于区域划分(太贵),只在内外网之间放一个
生产厂商
防火墙/UTM/安全网关/下一代防火墙/第二代防火墙:
天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云
2729
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
